Condividi tramite

Creare un prefisso di indirizzo IPv4 personalizzato in Azure

  • Articolo

Questo articolo illustra come creare un prefisso di indirizzo IPv4 personalizzato usando il portale di Azure. Si prepara un intervallo per il provisioning, si effettua il provisioning dell'intervallo per l'allocazione IP e si abilita l'annuncio di intervallo da parte di Microsoft.

Un prefisso di indirizzo IPv4 personalizzato consente di trasferire gli intervalli IPv4 personalizzati a Microsoft e associarlo alla sottoscrizione di Azure. L'utente mantiene la proprietà dell'intervallo mentre Microsoft può annunciarlo in Internet. Un prefisso di indirizzo IP personalizzato funge da risorsa a livello di area che rappresenta un blocco contiguo di indirizzi IP di proprietà del cliente.

Per questo articolo, scegliere tra il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell per creare un prefisso di indirizzo IPv4 personalizzato.

Modello globale/regionale e unificato

Prima di eseguire l'onboarding dell'intervallo in Azure, è necessario decidere il modello più adatto per l'architettura. Per BYOIPv4, Azure offre due modelli di distribuzione: "global/regional" e "unified".

  • Il modello Globale/Regionale usa un paradigma figlio padre/. In questo paradigma, Microsoft Wide Area Network (WAN) annuncia l'intervallo globale (padre) e le rispettive aree di Azure annunciano gli intervalli regionali (figlio). Per impostazione predefinita, gli intervalli globali possono essere compresi tra /21 e /24, mentre gli intervalli internazionali possono essere compresi tra /22 e /26. Gli intervalli a livello di area dipendono dalle dimensioni del rispettivo intervallo padre e devono essere almeno un livello inferiore. Ad esempio, un intervallo globale che usa /23 consente un intervallo di aree compreso tra /24 e /26. Solo l'intervallo globale deve essere convalidato come parte del provisioning. Gli intervalli a livello di area derivano dall'intervallo globale analogamente a quanto avviene per i prefissi IP pubblici, che derivano da prefissi IP personalizzati.

  • Il modello unificato è un sistema semplificato in cui sia Microsoft Wide Area Network (WAN) che l'area di Azure annunciano lo stesso intervallo. Per impostazione predefinita, un intervallo unificato può essere di qualsiasi dimensione compreso tra /21 e /24.

  • La scelta del modello dipende dall'ambito dell'onboarding desiderato. Ad esempio, se il piano prevede solo l'onboarding di un intervallo in una singola area di Azure, il modello unificato è la scelta più logica ed evita il sovraccarico di gestione. Se l'organizzazione sta invece cercando di distribuire intervalli BYOIPv4 in più aree, potenzialmente distribuite tra team diversi all'interno dell'organizzazione e in un lungo periodo di tempo, un modello globale/regionale può offrire maggiore flessibilità.

Nota

Non è possibile "eseguire la migrazione" degli intervalli tra i due modelli dopo l'onboarding; devono essere completamente deprovisionati e ricaricati per utilizzare l'altro modello.

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

  • Intervallo IPv4 di proprietà del cliente di cui effettuare il provisioning in Azure.

    • In questo esempio viene usato un intervallo di clienti di esempio (1.2.3.0/24). Questo intervallo non viene convalidato in Azure, quindi sostituire l'intervallo di esempio con il proprio.

Nota

Per i problemi riscontrati durante il processo di provisioning, vedere Risoluzione dei problemi relativi al prefisso IP personalizzato.

Passaggi di pre-provisioning

Per usare la funzionalità BYOIP di Azure, è necessario eseguire la procedura seguente prima di effettuare il provisioning dell'intervallo di indirizzi IPv4.

Requisiti e idoneità dei prefissi

  • L'intervallo di indirizzi deve essere di proprietà dell'utente e registrato a suo nome presso uno dei cinque principali registri Internet regionali:

  • Affinché gli indirizzi vengano accettati dai provider di servizi Internet, l'intervallo di indirizzi deve avere dimensioni inferiori a /24.

  • Un documento roA (Route Origin Authorization) che autorizza Microsoft a annunciare l'intervallo di indirizzi deve essere completato dal cliente nel sito Web appropriato del Registro internet di routing (RIR) o tramite l'API. Il registro Internet a livello di area richiede che il documento ROA sia firmato digitalmente con la corrispondente infrastruttura RPKI (Resource Public Key Infrastructure).

    Per questo documento ROA:

    • Il sistema autonomo di origine deve essere elencato come 8075 per il cloud pubblico. Se l'intervallo verrà sottoposto a onboarding nel cloud US Gov, il sistema autonomo di origine deve essere elencata come 8070.

    • La data di fine della validità (data di scadenza) deve tenere conto dell'ora in cui si intende che Microsoft annunci il prefisso. Alcuni registri Internet a livello di area non presentano la data di fine della validità come opzione e/o scelgono la data desiderata.

    • La lunghezza del prefisso deve corrispondere esattamente ai prefissi annunciati da Microsoft. Ad esempio, se si prevede di trasferire 1.2.3.0/24 e 2.3.4.0/23 a Microsoft, entrambi i valori devono essere denominati.

    • Dopo aver completato e inviato il documento ROA, attendere almeno 24 ore affinché diventi disponibile per Microsoft, che ne verificherà l'autenticità e la correttezza nell'ambito del processo di provisioning.

Nota

È anche consigliabile creare un documento ROA per qualsiasi ASN esistente che annunci l'intervallo per evitare eventuali problemi durante la migrazione.

Importante

Anche se Microsoft non smetterà di annunciare l'intervallo dopo la data specificata, è consigliabile creare in modo indipendente un documento ROA di completamento se la data di scadenza originale è già trascorsa per evitare che operatori esterni non accettino l'annuncio.

Idoneità per i certificati

Per autorizzare Microsoft ad associare un prefisso a una sottoscrizione del cliente, è necessario confrontare un certificato pubblico con un messaggio firmato.

I passaggi seguenti illustrano la procedura necessaria per preparare l'intervallo di clienti di esempio (1.2.3.0/24) per il provisioning nel cloud pubblico. È possibile eseguire questi comandi con Windows PowerShell o in una console Linux. Entrambi richiedono l'installazione di OpenSSL.

  1. È necessario creare un certificato X509 autofirmato da aggiungere al record Whois/RDAP per il prefisso. Per informazioni su RDAP, vedere i siti ARIN, RIPE, APNIC e AFRINIC.

    Usando il toolkit OpenSSL, i comandi seguenti generano una coppia di chiavi RSA e creano un certificato X509 usando la coppia di chiavi che scade in sei mesi.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Dopo aver creato il certificato, aggiornare la sezione dei commenti pubblici del record Whois/RDAP per il prefisso. Per visualizzare per la copia, inclusa l'intestazione/piè di pagina BEGIN/END con trattini, usare il comando cat byoippublickey.cer. Dovrebbe essere possibile eseguire questa procedura tramite il sito Routing Internet Registry locale.

    Ecco le istruzioni per ogni registro:

    • ARIN: modificare la sezione Comments del record del prefisso.

    • RIPE : modificare le osservazioni del record inetnum.

    • APNIC : modificare le osservazioni del record inetnum usando MyAPNIC.

    • AFRINIC : modificare le osservazioni del record inetnum usando MyAFRINIC.

    • Per gli intervalli dal registro LACNIC, creare un ticket di supporto da inviare a Microsoft.

    Dopo aver compilato i commenti pubblici, il record Whois/RDAP dovrebbe essere simile all'esempio seguente. Quando si copia, assicurarsi che non ci siano spazi o ritorni a capo e includere tutti i trattini:

    Screenshot del commento del certificato di esempio.

  3. Per creare il messaggio passato a Microsoft, creare una stringa contenente le informazioni pertinenti sul prefisso e sulla sottoscrizione. Firmare questo messaggio con la coppia di chiavi generata in precedenza. Usare il formato seguente, sostituendo l'ID sottoscrizione, il prefisso per il provisioning e la data di scadenza corrispondente alla data di validità nell'elenco roA. Verificare che il formato rispetti tale ordine.

    Usare il comando seguente per creare un messaggio firmato passato a Microsoft per la verifica.

    Nota

    Se la data di fine della validità non è stata inclusa nel documento ROA originale, selezionare una data corrispondente all'ora in cui Azure deve annunciare il prefisso.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Per visualizzare il contenuto del messaggio firmato, immettere la variabile creata dal messaggio firmato creato in precedenza e selezionare Invio al prompt:

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

Provisioning e commissioning di un prefisso IPv4 personalizzato

I passaggi seguenti illustrano la procedura per il provisioning e la commissione di un prefisso di indirizzo IPv4 personalizzato con una scelta di due modelli: Unified e Global/Regional. I passaggi possono essere eseguiti con il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

Usare il portale di Azure per effettuare il provisioning e la commissione di un prefisso di indirizzo IPv4 personalizzato con il portale di Azure.

I passaggi seguenti mostrano la procedura per il provisioning di un intervallo di clienti di esempio (1.2.3.0/24) nell'area Stati Uniti occidentali 2.

Nota

I passaggi di pulizia o eliminazione non vengono visualizzati in questa pagina data la natura della risorsa. Per informazioni sulla rimozione di un prefisso IP personalizzato con provisioning, vedere Gestire il prefisso IP personalizzato.

Accedere ad Azure

Accedere al portale di Azure.

Creare ed effettuare il provisioning di un prefisso di indirizzo IP personalizzato unificato

  1. Nella casella di ricerca nella parte superiore del portale immettere IP personalizzato.

  2. Nei risultati della ricerca selezionare Prefissi IP personalizzati.

  3. Seleziona + Crea.

  4. In Crea un prefisso IP personalizzato immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la sottoscrizione
    Gruppo di risorse Selezionare Crea nuovo.
    Immettere myResourceGroup.
    Selezionare OK.
    Dettagli istanza
    Nome Immettere myCustomIPPrefix.
    Paese Selezionare Stati Uniti occidentali 2.
    Versione IP Selezionare IPv4.
    Prefisso IPv4 (CIDR) Immettere 1.2.3.0/24.
    Data di scadenza del documento ROA Immettere la data di scadenza del documento ROA nel formato aaaammgg.
    Messaggio firmato Incollare l'output di $byoipauthsigned dalla sezione di pre-provisioning.
    Zone di disponibilità Selezionare Con ridondanza della zona.

    Screenshot della pagina di creazione del prefisso IP personalizzato nel portale di Azure.

  5. Selezionare la scheda Rivedi e crea o il pulsante blu Rivedi e crea nella parte inferiore della pagina.

  6. Seleziona Crea.

Viene eseguito il push dell'intervallo nella pipeline di distribuzione IP di Azure. Il processo di distribuzione è asincrono. È possibile controllare lo stato esaminando il campo Stato commissioning eseguito per il prefisso IP personalizzato.

Nota

Il tempo stimato per il completamento del processo di provisioning è di 30 minuti.

Importante

Non appena lo stato del prefisso IP personalizzato diventa "Provisioning effettuato", è possibile creare un prefisso IP pubblico figlio. Questi prefissi IP pubblici e tutti gli indirizzi IP pubblici possono essere collegati alle risorse di rete, ad esempio interfacce di rete della macchina virtuale o front-end del servizio di bilanciamento del carico. Gli indirizzi IP non verranno annunciati e pertanto non saranno raggiungibili. Per altre informazioni sulla migrazione di un prefisso attivo, vedere Gestire un prefisso IP personalizzato.

Creare un prefisso IP pubblico da un prefisso IP personalizzato unificato

Quando si crea un prefisso, è necessario creare gli indirizzi IP statici dal prefisso. In questa sezione viene creato un indirizzo IP statico dal prefisso creato in precedenza.

  1. Nella casella di ricerca nella parte superiore del portale immettere IP personalizzato.

  2. Nei risultati della ricerca selezionare Prefissi IP personalizzati.

  3. In Prefissi IP personalizzati selezionare myCustomIPPrefix.

  4. In Panoramica di myCustomIPPrefixselezionare + Aggiungi un prefisso IP pubblico.

  5. Immettere o selezionare le informazioni seguenti nella scheda Informazioni di base di Creare un prefisso IP pubblico.

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare myResourceGroup.
    Dettagli istanza
    Nome Immettere myPublicIPPrefix.
    Paese Selezionare Stati Uniti occidentali 2. L'area del prefisso IP pubblico deve corrispondere all'area del prefisso IP personalizzato.
    Versione IP Selezionare IPv4.
    Proprietà del prefisso Selezionare Prefisso personalizzato.
    Prefisso IP personalizzato Selezionare myCustomIPPrefix.
    Dimensione prefisso Selezionare una dimensione per il prefisso. Le dimensioni possono essere uguali a quelle del prefisso IP personalizzato.

  6. Selezionare Rivedi e crea e quindi Crea nella pagina successiva.

  7. Ripetere i passaggi da 1 a 3 per tornare alla pagina Panoramica per myCustomIPPrefix. Viene visualizzato myPublicIPPrefix elencato nella sezione Prefissi IP pubblici associati. È ora possibile allocare indirizzi IP pubblici dello SKU standard da questo prefisso. Per altre informazioni, vedere Creare un indirizzo IP pubblico statico da un prefisso.

Commissione il prefisso dell'indirizzo IP personalizzato unificato

Quando lo stato del prefisso IP personalizzato è Provisioning effettuato, aggiornare il prefisso per avviare il processo di advertising dell'intervallo da Azure.

  1. Nella casella di ricerca nella parte superiore del portale immettere IP personalizzato e selezionare Prefissi IP personalizzati.

  2. Verificare e attendere, se necessario, che lo stato di myCustomIPPrefix diventi Provisioning effettuato.

  3. In Prefissi IP personalizzati selezionare myCustomIPPrefix.

  4. In Panoramica di myCustomIPPrefixselezionare il menu a discesa Commissioning e scegliere A livello globale.

L'operazione è asincrona. È possibile controllare lo stato esaminando il campo Stato commissioning eseguito per il prefisso IP personalizzato. Inizialmente, lo stato del prefisso sarà Commissioning in corso e successivamente Commissioning eseguito. L'implementazione dell'annuncio non viene completata contemporaneamente. L'intervallo è parzialmente pubblicizzato mentre è ancora in stato di commissione .

Nota

Il tempo stimato per completare il processo di commissioning è di 3-4 ore.

Importante

Quando il prefisso IP personalizzato passa allo stato Commissioning eseguito, l'intervallo viene annunciato da Microsoft dall'area locale di Azure e a livello globale in Internet dalla rete WAN di Microsoft con il numero di sistema autonomo (ASN) 8075. L'annuncio di questo stesso intervallo in Internet da una posizione diversa da Microsoft potrebbe potenzialmente creare instabilità a livello di routing BGP o perdita di traffico. Ad esempio, un edificio locale del cliente. Pianificare l'eventuale migrazione di un intervallo attivo durante un periodo di manutenzione per evitare impatti negativi. Per evitare questi problemi durante la distribuzione iniziale, è possibile scegliere l'opzione di commissioning solo a livello di area in cui il prefisso IP personalizzato verrà annunciato solo all'interno dell'area di Azure in cui viene distribuito. Per altre informazioni, vedere Gestire un prefisso di indirizzo IP personalizzato (BYOIP).For more information, see Manage a custom IP address prefix (BYOIP).

Passaggi successivi